Zur Unternavigation springen. Zum Inhalt springen.

TMR, Telekommunikation Mittleres Ruhrgebiet

Ausgabe 3/08 ergo

01.10.2008

Unternehmens-IT besser schützen

Bild Datensicherheit

Informationssicherheit ist mehr als Technik. TMR unterstützt kleine und mittlere Unternehmen beim Sicherheitsmanagement – damit die große Havarie ausbleibt.

Virenscanner, Firewall, Spam-Filter – auf solche technischen Hilfsmittel kann heute kaum ein Unternehmen mehr verzichten. Doch ist es mit Technik nicht immer getan: „IT-Sicherheit bedeutet heute, ein strategisches und prozessorientiertes Sicherheitsmanagement zu etablieren“, sagt Thomas Neumann, Informationssicherheitsbeauftragter und Leiter IT-Services und Internet bei TMR.

Kostenträchtige Computer-Havarien, wie zum Beispiel durch unzureichenden Schutz verloren gegangene Kunden- oder Auftragsdaten, lassen Geschäftsführer von kleinen und mittleren Unternehmen (KMU) aufhorchen. Oft nämlich wird erst dann klar, dass die Informationssicherheit nicht den Stellenwert innehatte, der ihr zusteht.

„In kleinen und mittleren Unternehmen wird Informationssicherheit oft nicht als Kernaufgabe empfunden, denn sie trägt nicht originär zum Geschäft bei“, erläutert Neumann. „Kommt es aber zum Schaden, ist die Geschäftsführung in der Pflicht.“ Nicht zuletzt seit der Aufnahme von IT-Bestimmungen in Gesetze und Richtlinien – wie dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KontraG) oder den Eigenkapitalvorschriften Basel II – sollte das Thema Informationssicherheit bei Geschäftsführern mit ganz oben auf der Agenda stehen. Seitdem entscheidet ein Sicherheitsmanagement in der Informationstechnik zum Beispiel mit über die Risikobewertung und damit die Bonität eines Unternehmens.

Besonders wichtig ist, vereinfacht gesagt, der Nachweis, dass alles im Rahmen der Wirtschaftlichkeit Nötige und Nögliche unternommen wurde, um einen Schaden zu vermeiden – und das nicht einmalig durch Technik, sondern durch einen kontinuierlichen Prozess. Gerade bei KMU entsteht hier allerdings ein Problem: „KMU sind personell oft nicht in der Lage, die Anforderungen zu erfüllen“, so TMR-Experte Thomas Neumann.

Die Regelwerke, mit denen die Informationstechnik einem Check unterzogen wird, Lücken gefunden und gestopft werden und schließlich ein Sicherheitsmanagement etabliert wird, sind komplex. Um KMU hier zu unterstützen, haben sich Thomas Neumann und sein Kollege Ingo Totzauer vom TÜV zum geprüften Fachmann für Informationssicherheit ausbilden lassen. Bei ihrer Arbeit halten sich die Mannen an bewährte Konzepte und einschlägige Kriterien, etwa den Sicherheitsstandard ISO 27001, nach dem Unternehmen ihr Sicherheitsmanagement auch zertifizieren lassen können.

Nicht immer sind Zertifizierungen nötig und sinnvoll. Zum Beispiel bei Zulieferbetrieben aber kann vom größeren Geschäftspartner eine Zertifizierung verlangt werden. „Wichtig ist, dem Sicherheitsmanagement langfristig entsprechende Aufmerksamkeit zu widmen“, sagt Thomas Neumann. Ausfälle können dann zwar immer noch vorkommen, aber im Fall der Fälle hat man bei einer Havarie der Technik größeren Verlusten einen Riegel vorgeschoben.